我们首先单步跟踪, 然后发现一个 je 跳转
跳转没有实现怎么办 ?
我们试着改标志位 ZF, 让它强行实现
LordPE 脱壳, 发现无法运行
ImportREC 修复, 获取输入表发现是 0 个输入函数, 0 个有效模块, 这根本没办法修复
所以强行跳转是不可取的
还是单步来到刚才那个跳转, 发现数据都是 0, 其实这已经是在重建输入表了
继续单步跟踪, 发现下面的循环, 其实这些循环是在重建输入表
当 IAT 重建完毕的时候, 刚才那个 je 就会实现, 如果你有耐心的话可以一直点 F8
下面我们用一种简单的办法
从 test eax,eax 得知, 只要 eax 的值为零, 下面的跳转就会实现
所以我们在 je 这里下一个条件断点
右键 > 断点 > 条件, 条件填 eax==0
然后运行, 下面显示跳转已经实现
取消断点, 跟到 OEP
这时候再回去看刚才的数据, IAT 已经完全重建完毕了
然后就是脱壳了, 此处省略.
